आईएसओ / आईईसी 27001 के लिए संक्रमण: 2013। अनुवाद की सूक्ष्मताएँ और न केवल

हेलो, हेब्र!
25 सितंबर 2013 को, अद्यतन मानक आईएसओ / आईईसी 27001: 2013 “सूचना सुरक्षा प्रबंधन प्रणाली। आवश्यकताएँ ”(सूचना सुरक्षा प्रबंधन प्रणाली - आवश्यकताएँ), जिसने 2005 के समान मानक को बदल दिया। मैं ट्रांज़िशन गाइड के हाथों में आ गया, और अपने ज्ञान को व्यवस्थित करने और इसे उन लोगों के साथ साझा करने के लिए जो दिलचस्पी लेंगे, मैंने इस छोटे नोट को व्यवस्थित करने का निर्णय लिया।

हमारे बारे में क्या?

अपने आप में, 27001 के अनुपालन पर एक ऑडिट पास करने से व्यवसाय को कुछ भी नहीं दिया जाता है, लेकिन इसके सूचना सुरक्षा विभाग में गर्व है (यदि मैं गलत हूं तो मुझे सुधारो)। हालांकि, यह महत्वपूर्ण ऑडिट के पारित होने की सुविधा प्रदान कर सकता है, उदाहरण के लिए, PCI DSS।
हालांकि, यह मुझे लगता है कि अंतरराष्ट्रीय व्यापार के साथ कोई भी बड़ी कंपनी प्रतिष्ठित क्रस्ट प्राप्त करना चाहती है।

शब्दों में परिवर्तन

मानक 27001: 2013 समूह 31000 (जोखिम मूल्यांकन) पर निर्भर करता है।
इस संस्करण में, "एसेट" शब्द गायब हो जाता है। इसके बजाय, "सूचना" और "सेवा" की व्यापक अवधारणाओं का उपयोग किया जाता है।

कोई कहेगा: "ऐसा कैसे?" लेकिन रुको, यह तर्कसंगत है: सभी जानकारी जो संरक्षित करने की आवश्यकता नहीं है वह कंपनी की संपत्ति है (जिस अर्थ में इसका उपयोग किया जाता है, उदाहरण के लिए, रॉबर्ट कियोसाकी द्वारा)।

शब्द "अवसर" (धारा 6.1.1) को सुधार के लिए संभावित क्षेत्र के रूप में जोड़ा गया है - एक व्यापक शब्द जिसमें विभिन्न जोखिमों को खत्म करने के उपायों का एक पूरा सेट शामिल हो सकता है।

उदाहरण के लिए, सॉफ्टवेयर में सुधार के अवसरों में विशिष्ट कीड़े को ठीक करना, वास्तुकला को बदलना और यहां तक ​​कि संभवतः, विक्रेता पर प्रभाव के कुछ उपाय शामिल हैं जो समझौतों के स्तर पर इस सॉफ्टवेयर को प्रदान करता है।

"एक्शन" "उद्देश्य" में बदल गया है - यह वैश्विक लक्ष्य ("लक्ष्य") के विपरीत वर्तमान लक्ष्य, विशिष्ट और औसत दर्जे का है।

अन्यथा, सब कुछ समान है। सूचना सुरक्षा का अर्थ है कि गोपनीयता, अखंडता और पहुंच सुनिश्चित करना, और योजना-दर-जांच-अधिनियम विधि के अनुसार जोखिम प्रबंधन किया जाता है।

अंकों पर

कुछ आइटम पूरी तरह से नए हैं, कुछ ने उप-आइटम जोड़े हैं। मैं मुख्य लोगों का हवाला दूंगा (और, उसी समय, अनुवाद)।

खण्ड 6.1.1 :
आईएसएमएस की योजना के दौरान, संगठन को जोखिमों और अवसरों की पहचान करनी चाहिए, जिनका उद्देश्य निम्न होना चाहिए:
क) पुष्टि करता है कि आईएसएमएस इससे अपेक्षित परिणाम प्राप्त करने में सक्षम है;
ख) अवांछित प्रभावों को रोकना या कम करना; और
ग) निरंतर सुधार प्राप्त करना।

खण्ड 6.1.2 इस तथ्य को उबालता है कि संगठन में एक जोखिम मूल्यांकन पद्धति को औपचारिक रूप दिया जाना चाहिए। इसके अलावा, जोखिमों की पहचान करते समय, उनमें से प्रत्येक को एक मालिक सौंपा जाना चाहिए - यह एक नई आवश्यकता है [ 6.1.2 c) 2) ]।

धारा 6.2 :
सूचना सुरक्षा के अवसर चाहिए:
बी) मापने योग्य (यदि लागू हो);
ग) आईएस की आवश्यकताओं और जोखिम मूल्यांकन और प्रसंस्करण के परिणामों को ध्यान में रखता है।
IS क्षमताओं को प्राप्त करने की योजना के दौरान, संगठन को यह निर्धारित करना चाहिए:
च) क्या किया जाना चाहिए;
छ) क्या संसाधनों की आवश्यकता है;
ज) जो जिम्मेदार होगा;
i) जब खत्म करना हो; और
j) परिणामों का मूल्यांकन कैसे किया जाएगा।

खंड 7.4 सहभागिता - एक नया पैराग्राफ।
संगठन ISMS से संबंधित आंतरिक और बाह्य इंटरैक्शन की आवश्यकता का निर्धारण करेगा, जिसमें शामिल हैं:
क) क्या के बारे में;
बी) जब;
ग) किसके साथ;
घ) कौन;
e) किस माध्यम से।

ऑडिटर को दिखाया जा सकता है, उदाहरण के लिए, आउटलुक कैलेंडर में प्रविष्टियां। आमतौर पर, उनके पास सभी आवश्यक सूची होती है।

खंड 9.1 निगरानी, ​​माप, विश्लेषण और मूल्यांकन
संगठन निर्धारित करेगा:
ग) कब और
बी) जो निगरानी और माप करेगा;
च) जो परिणामों का विश्लेषण और मूल्यांकन करेगा।

खण्ड 9.3 (प्रबंधन समीक्षा) ISMS की वार्षिक समीक्षा करने के लिए प्रबंधन की आवश्यकता को बाहर करता है ।

खण्ड 10.1 गैर-मान्यता और सुधारक कार्य
जब एक विसंगति की खोज की जाती है, तो संगठन करेगा:
क) गैर-अनुपालन का जवाब, और, यदि लागू हो:
1) इसे नियंत्रित करने और समायोजित करने के लिए उपाय करें; और
2) परिणामों के साथ काम करें;
ई) यदि आवश्यक हो, तो आईएसएमएस में संशोधन करें।
संगठन प्रलेखित सूचना को साक्ष्य के रूप में बरकरार रखेगा:
च) असंबद्धता की प्रकृति और बाद में की गई कार्रवाइयाँ, और
छ) सुधारात्मक कार्यों के परिणाम।

अंतभाषण

मानक के बारे में अधिक सामान्य जानकारी विकी से लिंक पर पाई जा सकती है
मुझे खुशी होगी अगर यह नोट किसी के लिए उपयोगी है।